本文教你如何在不更换主机商的前提下,为面向中国大陆用户的站点配置一套可用的 Cloudflare CDN(Content Delivery Network,内容分发网络)加速链路,覆盖 DNS(Domain Name System,域名解析)配置、回源路径、TLS(传输层安全协议)与缓存策略,并给出备案合规判断。读完本文你将获得三项产出:场景适配判断表、从接入到回源的配置流程、以及常见故障排查清单。
一、Cloudflare 中国大陆访问现状
许多站长第一次接入 Cloudflare 时会发现:海外测速很快,但国内用户依旧反馈页面加载缓慢甚至出现 502。原因在于 Cloudflare 的默认 Anycast 网络在中国大陆没有正式落地节点,国内访问会被调度到香港、东京、新加坡等周边节点,跨境链路质量与 ISP(互联网服务提供商)路由策略密切相关,电信、联通、移动三网表现差异很大。
在动手前需要先判断目标场景是否适合直接使用 Cloudflare 免费方案。如果主要用户来自海外、国内访问仅占少数,免费方案完全够用;如果国内用户占多数但允许 200 至 400 毫秒首字节,免费方案叠加合理缓存策略可以接受;若国内用户占多数且要求 100 毫秒级响应,建议考虑 Cloudflare China Network 或叠加国内 CDN;如果站点已在工信部备案且需要对国内用户提供低延迟视频或交易,建议同时部署国内节点。
如果你的回源主机已经是香港或美国 CN2 线路,Cloudflare 可以作为静态资源缓存层加速全球访问,国内回源依然依赖主机本身的路由质量。回源主机的线路选择可参考 WordPress 香港主机选购指南 与 云服务器选购指南 中的网络章节;云服务器(基于虚拟化的弹性计算资源)的出口质量直接决定回源时延。
二、Cloudflare 中国大陆 DNS 接入
接入 Cloudflare 的核心动作是把域名的权威 DNS 切换到 Cloudflare 提供的两台 NS。在 Cloudflare 控制台添加站点后选择 Free 方案,Cloudflare 会自动扫描现有 DNS 记录,但扫描结果通常不完整,邮件 MX、SPF、DKIM、二级子域名都需要手工补齐。然后把根域名(@)与 www 的 A 记录指向源站 IP,并打开橙云图标(即”已代理”);需要直接暴露源站 IP 的记录,例如邮件 MX 与对应的 mail 子域名,必须保持灰云。
DNS 记录补齐后,到域名注册商处把 NS 修改为 Cloudflare 给的两条 NS。生效时间通常在 5 分钟到 24 小时之间,可用 dig +short NS yourdomain.com @8.8.8.8 与 dig +short NS yourdomain.com @114.114.114.114 分别验证海外与国内解析是否一致。最后到 SSL(Secure Sockets Layer,安全套接层)/TLS 模块把加密模式从默认 Flexible 改成 Full strict。Flexible 模式下浏览器到 Cloudflare 走 HTTPS、Cloudflare 到源站走 HTTP,存在死循环与混合内容风险;Full strict 要求源站持有有效证书,可用源站的 Let’s Encrypt 证书或 Cloudflare 原点证书。
三、回源路径与节点优化
国内用户访问 Cloudflare 时的路径通常是:用户 ISP 到跨境出口,跨境出口到 Cloudflare 边缘节点,最后回源主机。两段链路都可能成为瓶颈。
用户到 Cloudflare 边缘这一段,可以通过 Argo Smart Routing 优化,截至 2026 年 5 月,官方公布的月费起步约为 5 美元每域名并按 GB 计费,实际报价以 Cloudflare 控制台为准。Argo 会基于实时网络数据为请求选路,对国内三网回程的改善通常在 20% 到 40%。如果预算受限,可以先用 美国 VPS(Virtual Private Server,虚拟专用服务器)部署教程 中介绍的 MTR 命令逐跳测试,确认瓶颈出在哪一跳,再决定是否开 Argo。
Cloudflare 到源站这一段,要点是把源站放在网络条件好的位置:源站位于香港时海外访问快但国内依赖香港回程;源站位于美国 CN2 时国内访问需跨太平洋,建议叠加国内 CDN 处理静态资源;源站位于内地(已备案)时仅适合海外用户为主的场景。回源优化的第二个动作是开启 Tiered Cache,Cloudflare 会在最近边缘节点未命中时先到中心层节点查询,免费方案也可使用其基础功能,能把源站负载降低约 30%。
四、Cloudflare 中国大陆缓存策略
合理的缓存策略能把大部分静态请求挡在边缘节点,减少回源压力。常见的基线配置是默认 Browser Cache TTL 设为 4 小时,Edge Cache TTL(通过 Cache Rules 设置)把图片与字体设为 30 天、CSS 与 JS 设为 24 小时、HTML 设为 10 分钟,同时把 WordPress 后台路径 /wp-admin/* 与 /wp-login.php 设为 Bypass Cache。
在 Cache Rules 中创建规则时,匹配字段优先用 URI Path 与 Hostname,避免使用 Cookie 字段(免费方案不可用)。Cache Rules 替代了旧的 Page Rules,免费方案可创建 10 条,对中型站点足够。对 WordPress 站点,建议把 Cloudflare 与本地缓存插件组合:本地负责对象缓存与数据库缓存,Cloudflare 负责边缘缓存。具体的 WordPress 缓存层级可参考 WordPress W3 Total Cache 调优实战。
清缓存的命令也要纳入发布流程。Cloudflare 提供 API:
curl -X POST "https://api.cloudflare.com/client/v4/zones/${ZONE_ID}/purge_cache" \
-H "Authorization: Bearer ${CF_API_TOKEN}" \
-H "Content-Type: application/json" \
--data '{"purge_everything":true}'
实际生产环境推荐用 files 字段精确清除变更过的 URL,避免每次发布都全量清缓存导致回源风暴。
五、备案与合规要点
如果站点最终要在中国大陆稳定提供服务,绕不开备案话题。简单判断:域名解析与提供服务的内容服务器都在境外时,可不备案但要承担访问不稳定的风险;内容服务器在境内或使用境内 CDN 节点时,需要 ICP 备案;如果业务涉及论坛、用户上传、电商交易,还需要做经营性备案与公安备案。
Cloudflare 普通 Free 与 Pro 方案不在工信部备案范围内,加速节点位于境外。如果业务有备案需求,需单独申请 Cloudflare China Network,由百度智能云作为国内合作运营方接入。截至 2026 年 5 月,该方案的国内合作伙伴起步年费在数万元人民币级别(具体以接入时官方公示价格为准),仅适合中大型企业。中小站长更现实的方案是:海外用户走 Cloudflare 免费方案,国内用户由备案后的国内主机或国内 CDN 服务。更多国内业务承载的选型可参考 WordPress 分类下的相关文章。
六、常见故障排查清单
高频问题与对应处理方向:首字节慢时,先 curl -w "%{time_starttransfer}\n" -o /dev/null https://yourdomain.com 抓 TTFB(Time To First Byte,首字节时间),再用 cf-ray 响应头看是哪个节点,若节点在国内边远地区可考虑 Argo。部分省份出现 502 时,检查源站防火墙是否拦截 Cloudflare IP 段,需 allowlist 官方公布的 IP 列表。HTTPS 证书报错时,检查加密模式是否为 Full strict、源站证书是否过期、子域名是否在证书 SAN 列表内。静态资源未命中缓存时,用浏览器开发者工具查 cf-cache-status,若为 DYNAMIC 或 BYPASS,回 Cache Rules 检查匹配条件。排查命令建议固化为脚本,每次接入新站点跑一遍。
总结与建议
Cloudflare 在中国大陆是”够用但不极致”的方案:免费版能解决海外加速与基本 DDoS 防护,国内体验取决于回源主机的线路质量与缓存策略。建议中小站点先完成 DNS 接入、TLS 切到 Full strict、Tiered Cache 启用与基础 Cache Rules 配置,再用 MTR 与 cf-ray 排查瓶颈;如果你需要国内用户的稳定低延迟,可考虑把回源放在香港 CN2 线路并叠加国内备案 CDN。链路跑通后,下一步推荐补上自动清缓存与发布回调。